Ist es möglich Serverdatenauslesen zu verhindern?

Lesenswerte Artikel, Anleitungen und Diskussionen
footh
Posts: 84
Joined: 2002-12-02 02:33

Ist es möglich Serverdatenauslesen zu verhindern?

Post by footh » 2003-09-28 14:24

Wir kennen ja alle Netcraft und Konsorten.
Gibt man eine Domain oder IP ein, bekommt man gleich zu sehen, was läuft. Für mich kein angenehmes Gefühl, wenn ich manchmal sehe, was alles an Infos ausgespuckt werden.

Meine 1. Frage nun, kann man das Auslesen von Serverdaten via Netcraft, etc. verhindern?

Meine 2. Frage, kann man es vielleicht auch verhinden, daß man via:

Code: Select all

<?php 
phpinfo(); 
?> 
...die Serverdaten auslesen kann?
Das wäre für mich mal sehr Interessant, wenn mir jemand da auf die Sprünge helfen könnte. :wink:

MFG
footh

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by majortermi » 2003-09-28 15:18

footh wrote:Meine 1. Frage nun, kann man das Auslesen von Serverdaten via Netcraft, etc. verhindern?
Zum Teil ja (schau dir die Apache-Doku an).
Meine 2. Frage, kann man es vielleicht auch verhinden, daß man via:

Code: Select all

<?php 
phpinfo(); 
?> 
...die Serverdaten auslesen kann?
Warum solltest du das wollen: Leute, die berechtigt sind Skripte auf dem Server abzulegen, werden u.U. diese Informationen benötigen.

BTW: Security by obscurity ist grundsätzlich eine schlechte Idee. Sorge also lieber dafür, dass niemandem die Informationen, die er so bekommt, etwas bringen.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

footh
Posts: 84
Joined: 2002-12-02 02:33

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by footh » 2003-09-28 15:29

Sorge also lieber dafür, dass niemandem die Informationen, "die er so bekommt", etwas bringen.
Wie meinst du das bitte?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by dodolin » 2003-09-29 00:17

Wie meinst du das bitte?
Ein Rechner sollte grundsätzlich so sicher konfiguriert sein, dass ein potenzieller Angreifer selbst mit Kennntnis sämtlicher Internas keinen erfolgreichen Angriff starten kann.

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by gamecrash » 2003-09-29 10:14

Ist das Root-Passwort auch so ein Interna? :D

goge
Posts: 23
Joined: 2003-05-08 10:01

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by goge » 2003-09-29 11:01

GameCrash wrote:Ist das Root-Passwort auch so ein Interna? :D
Ja, bei manchen admins würde es die Sicherheit erhöhen, wenn sie das root passwort nicht kennen würden.

:wink:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by dodolin » 2003-09-29 14:26

Ist das Root-Passwort auch so ein Interna?
In der Tat. Du könntest mein root PW wissen, und es würde dir nix bringen, weil root sich nicht per Remote einloggen kann. Und nur ein einziger lokaler User (meiner) sich per su zu root machen kann. Trotzdem verrate ich es natürlich nicht. ;)

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by majortermi » 2003-10-01 20:00

GameCrash wrote:Ist das Root-Passwort auch so ein Interna? :D
Im optimalen Fall ja, weil man
1. einen Kernel mit ACL-Unterstützung benutzt und dann "root" die Privilegien von "nobody" gibt und
2. für den Account mit Admin-Rechten nur ein Login über ein gesichertes Verfahren (Public-Key) zulässt. Der Private-Key sollte in diesem Fall nicht auf dem Server liegen, sondern nur auf einem getrennten, vom Internet nicht direkt erreichbaren System (perfekt wäre natürlich eine Smart-Card).

Zu 1.: Auf dem Linux-Tag 2002 hat das Debian-Projekt eine solche Aktion gemacht. Da stand ein Rechner mit laufendem Linux und darüber hing ein Schild mit der Aufschrift "Root-Passwort: weißnichtmehr, wer es schafft das System zu kompromittieren, bekommt irgendwas geschenkt). Soweit ich weiß, hat es niemand geschafft (auf der Kiste lief der NSA-gepatchte Kernel).
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by rootmaster » 2003-10-01 20:45

MajorTermi wrote: 1. einen Kernel mit ACL-Unterstützung benutzt und dann "root" die Privilegien von "nobody" gibt [...]
für die geeks:

der nächste schritt ist plan9 von den bell-labs 8)

http://www.cs.bell-labs.com/sys/doc/9.html
http://www.cs.bell-labs.com/plan9dist

(der "geteilte" admin ;))

"back to the roots"

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Ist es möglich Serverdatenauslesen zu verhindern?

Post by gamecrash » 2003-10-02 09:06

Menno, ich wollt doch nur einen Witz machen, und Ihr seid mir schon wieder über ;)